Wie sicher ist die Funktion „Download des Originalbilds deaktivieren“ von Flickr?

Auf der Seite mit den Flickr-Datenschutzeinstellungen befindet sich eine Einstellung mit dem Titel "Wer kann auf Ihre Originalbilddateien zugreifen?". Wenn ich eine andere Einstellung als "Jeder" (z. B. "Nur Sie" oder "Ihre Kontakte") wähle, kann ein nicht autorisierter Benutzer trotzdem auf das Originalbild zugreifen, ohne dass ihm jemand die URL dafür angibt? (Angenommen, mein Originalfoto ist größer als 1024px. Es gibt also eine andere Originalversion als die Large-Version. Angenommen, es ist nicht Creative Commons-lizenziert .)

Mir ist durchaus bewusst, dass ein entschlossener Benutzer, sobald ein Bild in seinem Browser angezeigt wurde, es problemlos herunterladen kann, ungeachtet etwaiger Hindernisse (z. B. JavaScript-Blocker), die der Browser zu verhindern versucht. Ich halte jedoch Folgendes für richtig:

1. Ein nicht autorisierter Benutzer sieht nur eine Fehlerseite, wenn er versucht, die Originalgröße-Seite auf Flickr anzuzeigen (z . B. diese Seite ).

2. Obwohl die URL dieser Seite leicht zu erraten ist (fügen Sie sie einfach sizes/o/an das Ende der normalen URL der Fotoseite an), hat die URL der tatsächlichen Originalbilddatei eine zufällige Komponente und kann nicht leicht erraten werden.

Es gibt viele von Menschen auf Flickr und anderswo sagen die disable - Download Einstellung nutzlos ist, aber ich habe keinen Beweis gesehen. Weiß jemand sicher, dass es umgangen werden kann? Wenn Sie "Ja" sagen, erwarte ich, dass Sie dies beweisen, indem Sie mir die Originalgröße meines neuesten Bildes senden ! (Es soll nur Freunden und der Familie zur Verfügung stehen - also nicht dir, Onkel Goober ...)

Ein wenig Kontext: Ich möchte darauf hinweisen, dass ich nicht Fotos stehlen möchte. Ich versuche zu verstehen, wie sicher meine sind, insbesondere im Hinblick auf diese Lücke in Bezug auf Geofences , über die heute berichtet wurde.

Ich habe einige Nachforschungen angestellt und dabei mein eigenes flickr-Konto und einen nicht angemeldeten Browser verwendet.

Hier ist die Seite "Alle Größen" für eines meiner Fotos .

Bevor ich das "Wer kann auf Ihre Original-Bilddateien zugreifen?" Ändere Bei der Einstellung "Datenschutz und Berechtigungen" kann ein generischer Internetbenutzer den Link " Original " zusätzlich zu den anderen Größen sehen. Diese Seite hatte ein <img>Tag, das mit dieser URL verknüpft war . Die Seite "Alle Größen" enthielt auch einen Link mit der Aufschrift " Originalgröße dieses Fotos herunterladen" . (Wenn Sie die URLs überprüfen, beachten Sie, dass _dder Dateiname ein Suffix enthält. Flickr erkennt dies und löst den HTTP-Header aus, der den Browser auffordert, das Bild herunterzuladen, anstatt es anzuzeigen.)

Zum Vergleich hier die große Seite und die entsprechende Bild-URL .

Dann habe ich die Datenschutzeinstellung geändert, den Cache in meinem nicht angemeldeten Browser geleert und die Links erneut überprüft. Folgendes habe ich gefunden:

• Der Link zur Originalgröße-Seite leitet jetzt zur großen Seite weiter . Das klingt plausible.
• Die Seite "Alle Größen" enthielt erwartungsgemäß keine Links mehr zur Originalgröße.
• Ich konnte immer noch das Originalbild herunterladen
  • Das ist ein bisschen überraschend. Dies bedeutet, dass die Seiten mit den Bildern zwar Zugriffsbeschränkungen unterliegen, die Bilder selbst jedoch nicht geschützt sind .
  • Als Webentwickler kann ich verstehen, warum sie das wahrscheinlich getan haben. Die Bilder sind groß und statisch und werden wahrscheinlich über ein Content Delivery-Netzwerk bereitgestellt. Es ist schneller und effizienter, die Berechtigungen für Bilddateien nicht zu überprüfen. Sie können sie auf diese Weise einfach auf einem "dummen" Webserver hosten.

Sobald die URL für die Originaldatei bekannt ist, gibt es keine Möglichkeit, jemanden daran zu hindern, die Originalversion der Datei herunterzuladen (außer sie vollständig zu löschen ... und das funktioniert möglicherweise nicht einmal. Ich habe es nicht versucht).

Ein letztes Problem: Wie wahrscheinlich sind die ursprünglichen Datei-URLs? Hier sind sie Seite an Seite:

Large:    http://farm7.static.flickr.com/6126/6044833128_cc02cf41e3_b.jpg
Original: http://farm7.static.flickr.com/6126/6044833128_3b8eac89d7_o.jpg

Das Suffix ( _boder _o) bestimmt also die Größe, aber es gibt auch ein anderes Element im Dateinamen, das je nach Größe variiert. Sie können das Suffix nicht einfach ändern, um die Größe zu ändern. Hier ist die URL für die Large - Version mit dem Suffix geschaltet zu _o; es funktioniert nicht

Wenn ich Flickr wäre, würde ich sicherstellen, dass dieses mittlere Element für jede Fotogröße völlig zufällig und daher nur durch Brute-Force-Angriffe zu erraten ist. Es ist 40 Bit lang, es gibt also eine Menge (2 ^ 40, ~ 1 Billion) möglicher Optionen. Es ist sehr unwahrscheinlich, dass sich jemand die Mühe macht, dieses Segment zu brachialisieren, um die Originalgröße einer Datei zu erhalten ... wenn er bereits über die große Version verfügt.

Solange Sie die Funktion zum Herunterladen von Originaldateien deaktiviert haben und die URLs der Originalbilder nicht freigegeben haben, ist die Flickr-Funktion ziemlich sicher. Wenn es kaputt geht, ist es so ziemlich deine eigene Schuld.

Diese Seite (verlinkt mit dem Firefox-Plugin, das Bill Weaver gepostet hat) fasst die Situation gut zusammen, einschließlich der "Zufallskomponente" in der Bild-URL, die ich in der Frage erwähnt habe.

Der Autor stellt fest:

Dies bedeutet, dass Sie den Dateinamen des Originalfotos auch dann nicht erraten können , wenn Sie sich die Mühe machen, den Dateinamen für eine der kleineren Größen zu ermitteln. Dies ist eine großartige Nachricht für Fotografen, die sich Gedanken über den Diebstahl von Bildern machen.

"Kann nicht erraten" - toll! :) Aber dann sagt er weiter:

Das Coole daran ist, dass es nach dem Zufallsprinzip von Flickr so gut wie unmöglich wurde , die URL für die Originalgröße einer Datei zu erraten.

" Fast unmöglich" - nicht so toll! :( Aber ich nehme an, er meint nur, dass man es bei genügend Zeit und Rechenleistung mit einem Brute-Force-Angriff knacken könnte . Wenn ja, ist das gut genug für mich: Ich nehme die Chancen in Kauf. :)

Flickr verwendet standardmäßig das nicht sichere Webprotokoll (HTTP), sodass auf alle Bilder zugegriffen werden kann, nachdem eine Person, die Zugriff darauf hat, eine Sitzungsentführung durchgeführt hat. Für die Sitzungsentführung muss der Angreifer in der Lage sein, den Netzwerkverkehr des Opfers zu belauschen, z. B. durch Zugriff auf denselben drahtlosen Zugriffspunkt oder einen dazwischenliegenden Netzwerkknoten. Das Risiko ist in öffentlichen drahtlosen Netzwerken nach der Veröffentlichung von Firesheep sehr groß geworden - ein Firefox-Plugin, das automatisch Cookies erfasst, die andere Benutzer im gleichen drahtlosen Netzwerk verwenden, und sie zur einfachen Verwendung präsentiert.

Außerdem sind die Bilder mit Kopfzeilen versehen, mit deren Hilfe Zwischenwebcaches sie jahrelang aufbewahren können. Wenn Sie Zugriff auf das Durchsuchen eines Webcaches erhalten, können Sie möglicherweise auch auf Originalbilder zugreifen, die über diesen Cache angezeigt wurden.

Ich werde weder die Netzwerkverbindung noch die Caches Ihrer Freunde oder Ihrer Freunde ausfindig machen, also nein, ich werde Ihnen Ihr Originalbild nicht senden. Aber um auf Nummer sicher zu gehen, ist es am besten, keine Originalbilder hochzuladen.

Wenn es angezeigt wird, können Sie es natürlich speichern. Wenn Originale geschützt sind, gilt dies nur, wenn die URL bekannt ist. Fazit ist ziemlich sicher und nein, ich glaube nicht, dass es heruntergeladen werden kann.

Das flickr-original Firefox-Plugin scheint dies zunächst zu tun (ich habe es passiv angenommen), lädt aber tatsächlich das große Format herunter, wenn Sie Ihre Originale vor der öffentlichen Wiedergabe geschützt haben. Ich habe mit diesem Plugin eine 1024 x 580-Version Ihres Fotos heruntergeladen.

Das Firefox-Plugin Tamperdata ermöglicht das Auffinden der geschützten URL für das Bild. Das ist trivial. Die einzige Sicherheitsebene scheint die Dunkelheit zu sein.

Hier ist der einfache Weg, dies zu tun (mit Safari), ohne all den Jargon, den Sie Leute da draußen werfen. Gehen Sie zur Seite mit allen Bildern. Sobald Sie das Dropdown-Menü "Entwickeln" aktiviert haben, wechseln Sie zu "Web Inspector anzeigen". Suchen Sie auf der linken Seite des Entwicklerfensters nach den Dropdown-Bildern. Klicken Sie darauf und suchen Sie die Zeichenfolge mit der langen Nummer. Wenn Sie darauf klicken, wird das Bild im Entwicklerfenster angezeigt. Ganz rechts sehen Sie die Bild-URL. Kopieren Sie die URL und fügen Sie sie in ein neues Browserfenster ein. Das Bild wird angezeigt und kann von dort heruntergeladen werden. ODER ziehen Sie das Bild einfach aus dem Entwicklerfenster. (Der Name wird wahrscheinlich in "Unbekannt" geändert.